DE102004052101A1 - Verfahren und Vorrichtung zur Entschlüsselung breitbandiger Daten - Google Patents

Verfahren und Vorrichtung zur Entschlüsselung breitbandiger Daten Download PDF

Info

Publication number
DE102004052101A1
DE102004052101A1 DE102004052101A DE102004052101A DE102004052101A1 DE 102004052101 A1 DE102004052101 A1 DE 102004052101A1 DE 102004052101 A DE102004052101 A DE 102004052101A DE 102004052101 A DE102004052101 A DE 102004052101A DE 102004052101 A1 DE102004052101 A1 DE 102004052101A1
Authority
DE
Germany
Prior art keywords
key information
broadband
decryption unit
encrypted
broadband data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102004052101A
Other languages
English (en)
Other versions
DE102004052101B4 (de
Inventor
Hubert E. Kukla
Ingo Barth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Verimatrix GmbH
Original Assignee
Comvenient GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Comvenient GmbH and Co KG filed Critical Comvenient GmbH and Co KG
Priority to DE102004052101A priority Critical patent/DE102004052101B4/de
Priority to US11/577,960 priority patent/US8582763B2/en
Priority to EP05803715.1A priority patent/EP1807994B1/de
Priority to BRPI0518243-3A priority patent/BRPI0518243A2/pt
Priority to PCT/EP2005/011235 priority patent/WO2006045507A1/de
Publication of DE102004052101A1 publication Critical patent/DE102004052101A1/de
Application granted granted Critical
Publication of DE102004052101B4 publication Critical patent/DE102004052101B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/414Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance
    • H04N21/41407Specialised client platforms, e.g. receiver in car or embedded in a mobile appliance embedded in a portable device, e.g. video client on a mobile phone, PDA, laptop
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/44Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs
    • H04N21/4405Processing of video elementary streams, e.g. splicing a video clip retrieved from local storage with an incoming video stream or rendering scenes according to encoded video stream scene graphs involving video stream decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/61Network physical structure; Signal processing
    • H04N21/6106Network physical structure; Signal processing specially adapted to the downstream path of the transmission network
    • H04N21/6125Network physical structure; Signal processing specially adapted to the downstream path of the transmission network involving transmission via Internet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • H04N21/63345Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zur Entschlüsselung von verschlüsselten breitbandigen Daten durch einen oder mehrere autorisierte Anwender, mit den folgenden Schritten: DOLLAR A - Bereitstellen der verschlüsselten breitbandigen Daten (10) für eine Vielzahl von Anwendern; DOLLAR A - Bereitstellen von im Vergleich zu den breitbandigen Daten (10) schmalbandiger, verschlüsselter oder unverschlüsselter Schlüsselinformation (30), die für einen oder mehrere autorisierte Anwender individualisiert ist, auschließlich in einer Entschlüsselungseinheit (40), wobei die schmalbandige Schlüsselinformation (30) in der Entschlüsselungseinheit (40) in einer dem autorisierten Anwender nicht zugänglichen Form vorgehalten wird; DOLLAR A - zumindest teilweises Entschlüsseln der verschlüsselten breitbandigen Daten (10) in der Entschlüsselungseinheit (40) zur Ausgabe eines zumindest teilweise entschlüsselten breitbandigen Datenstroms (70) oder DOLLAR A - Erzeugen von breitbandiger Schlüsselinformation (30') aus der schmalbandigen Schlüsselinformation (30) in der Entschlüsselungseinheit (40) zur nachfolgenden Entschlüsselung der verschlüsselten breitbandigen Daten (10).

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zur Entschlüsselung von verschlüsselten breitbandigen Daten durch einen oder mehrere autorisierte Anwender.
  • Bei sogenannten „on demand"-Systemen stehen große Nutzdatenmengen, beispielsweise ein Videofilm, mehreren Nutzern gleichzeitig zur Verfügung, beispielsweise über das Internet oder ähnliche Medien oder auch auf ausleihbaren Datenträgern wie DVDs etc.. Die tatsächliche Nutzung der Daten verlangt jedoch zusätzlich separate Zugangsinformation, die der Anwender häufig erst gegen die Zahlung von Gebühren erhält. Verfügt der Anwender über die Zugangsinformation, stehen die Nutzdaten dem Anwender rechtmäßig ein- oder mehrfach zur Verfügung. Die Weitergabe der Nutzdaten an Dritte ist jedoch in der Regel nicht erlaubt.
  • In solch einem System werden die Nutzdaten für eine Vielzahl von Anwendern verschlüsselt bereitgestellt. Um diese Nutzdaten zu entschlüsseln hat ein autorisierter Anwender oder eine Gruppe autorisierter Anwender einen individualisierten Schlüssel. Genauer betrachtet hat der Anwender einen zweiten Schlüssel, der zusammen mit einem ersten Schlüssel der zusammen mit den Nutzdaten bereitgestellt wird, letztendlich Schlüsselinformation ergibt, mit der die Nutzdaten entschlüsselt werden können.
  • Beim Einsatz der genannten Schlüssel werden spezielle Ressourcen des Rechners des Anwenders verwendet, so dass nur auf diesem Rechner die Schlüsselinformation verfügbar wird. Eine solche Bindung an den Empfängerrechner geschieht beispielsweise unter Verwendung einer Smartcard. Dabei gibt die Smartcard die individualisierte Schlüsselinformation zur Entschlüsselung der Nutzdaten an den Rechner des rechtmäßigen Besitzers aus, der damit die verschlüsselten Nutzdaten entschlüsseln kann, beispielsweise um einen Videofilm anzusehen. In einer Umgebung, in der der rechtmäßige Empfänger die Schlüsselinformation nur zur bestimmungsgemäßen Entschlüsselung der Daten verwendet wird, ist dieses Verfahren sicher.
  • Leider gibt es viele Hacker, die die Schlüsselinformation aus dem erläuterten System extrahieren und anderen Nutzern, zum Teil sogar gegen ein Entgeld, zur Verfügung stellen. Der Angriff auf das Verschlüsselungssystem geschieht dabei zumeist dadurch, dass die von der Smartcard ausgehende Schlüsselinformation vor ihrer Anwendung zur Entschlüsselung der Nutzdaten abgefangen wird. Ein solcher Zugriff ist einem erfahrenen Hacker ohne große Probleme möglich. Für Software-Lösungen auf dem PC existieren für solche Angriffe sogar eine große Zahl von Werkzeugen, die den Zugriff auf die Schlüssel vereinfachen.
  • Ähnlich wie Smartcards funktionieren auch sogenannte "Dongles" zum Schutz von Nutzdaten. Diese Schutzmechanismen lassen sich jedoch durch Einbrechen in die geschützte Software mit einem entsprechend ausgerüsteten PC leicht außer Betrieb setzen. Das Werkzeug zum „Abschalten" des Schutzmechanismus wird dann über elektronische Netze unmittelbar weit verteilt.
  • Bei dem erläuterten Verfahren aus dem Stand der Technik ist die Datenmenge der Schlüsselinformation schmalbandig, d.h. gering, im Verhältnis zu den breitbandigen Datenmengen der zunächst verschlüsselten und später entschlüsselten Nutzdaten (beispielsweise einige hundert Kbyte Schlüsselinformation gegenüber einem Videofilm mit typischerweise 5,5 Gbyte). Die Schlüsselinformation kann daher nicht nur leicht extrahiert werden sondern auch per Email o.ä. online und gegebenenfalls anonym an eine Vielzahl nicht autorisierter Anwender verteilt werden. Eine nicht autorisierte Distribution der entschlüsselten Nutzdaten (beispielsweise des entschlüsselten Videodatenstroms mit einer Größe von einigen Gbyte) ist hingegen wegen der Menge der Daten als weitgehend unmöglich anzusehen oder zumindest schwierig.
  • Im Ergebnis sind daher die ursprünglich verschlüsselten Nutzdaten im Internet oder einem ähnlichen Medium quasi für jedermann zugänglich und der Provider dieser Daten hat keine oder nur eine sehr eingeschränkte Kontrolle über deren Nutzung.
    •
  • Der vorliegenden Erfindung liegt daher das Problem zugrunde, die oben genannten Nachteile des Stands der Technik zu überwinden und insbesondere ein Verfahren und eine Vorrichtung bereitzustellen, mit denen große verschlüsselte Datenmengen gegen einen unberechtigten Zugriff und die breite Verteilung an nicht autorisierte Anwender gesichert werden können.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung löst dieses Problem gemäß eines ersten Aspekts durch ein Verfahren zur Entschlüsselung von verschlüsselten breitbandigen Daten durch einen oder mehrere autorisierte Anwender, mit den folgenden Schritten:
    • – Bereitstellen der verschlüsselten breitbandigen Daten für eine Vielzahl von Anwender;
    • – Bereitstellen von im Vergleich zu den breitbandigen Daten schmalbandiger, verschlüsselter oder unverschlüsselter Schlüsselinformation, die für einen oder mehrere autorisierte Anwender individualisiert ist, ausschließlich in einer Entschlüsselungseinheit, wobei die schmalbandige Schlüsselinformation in der Entschlüsselungseinheit in einer dem autorisierten Anwender nicht zugänglichen Form vorgehalten wird;
    • – zumindest teilweises Entschlüsseln der verschlüsselten breitbandigen Daten in der Entschlüsselungseinheit zur Ausgabe eines zumindest teilweise entschlüsselten breitbandigen Datenstroms; oder
    • – Erzeugung von breitbandiger Schlüsselinformation aus der schmalbandigen Schlüsselinformation in der Entschlüsselungseinheit zur nachfolgenden Entschlüsselung der verschlüsselten breitbandigen Daten.
  • Auf die Reihenfolge der ersten beiden Verfahrensschritte kommt es dabei nicht an. Vorzugsweise umfasst die Entschlüsselungseinheit einen Sicherheitsbaustein, in dem die schmalbandige Schlüsselinformation gespeichert ist, und der die Entschlüsselung der breitbandigen Daten bzw. die Erzeugung der breitbandigen Schlüsselinformation durchführt. In einem anderen Ausführungsbeispiel umfasst die Entschlüsselungseinheit einen ersten Sicherheitsbaustein, in dem die schmalbandige Schlüsselinformation gespeichert ist und einen zweiten Sicherheitsbaustein, der vom ersten Sicherheitsbaustein über eine sichere Kommunikation die schmalbandige Schlüsselinformation erhält und der die Entschlüsselung der breitbandigen Daten bzw. die Erzeugung der breitbandigen Schlüsselinformation durchführt.
  • Ein erster Aspekt des erfindungsgemäßen Verfahrens besteht darin, nicht nur zum Bereitstellen der schmalbandigen Schlüsselinformation sondern auch zur Entschlüsselung der Nutzdaten einen oder mehrere Sicherheitschips zu verwenden d.h. die Entschlüsselung in der sicheren Umgebung der Entschlüsselungseinheit durchzuführen. Anders als ein PC oder ein anderer Computer für allgemeine Aufgaben, der für einen erfahrenen Hacker letztlich vollkommen zugänglich ist, so dass darin verwendete Schlüssel immer in der Gefahr sind früher oder später extrahiert zu werden, verbleibt im erläuterten Verfahren die schmalbandige Schlüsselinformation in der sicheren Entschlüsselungseinheit sowohl bei ihrer Bereitstellung als auch bei der zumindest teilweisen Entschlüsselung der verschlüsselten breitbandigen Daten oder der Erzeugung der breitbandigen Schlüsselinformation. Im Ergebnis verlässt die Entschlüsselungseinheit nur breitbandige Information (die teilweise entschlüsselten Daten oder die erzeugte breitbandige Schlüsselinformation), die nur mit sehr großem Aufwand an unbefugte Dritte weitergegeben werden kann.
  • Um das erläuterte Verfahren auf Videodaten anwenden zu können, ist es vorteilhaft, wenn die Datendurchsatzrate des entschlüsselnden Sicherheitsbausteins im Bereich mehrerer Mbit/s liegt. In einer bevorzugten Ausführungsform werden zumindest Teile der schmalbandigen Schlüsselinformation vor der Entschlüsselung der breitbandigen Daten oder der Erzeugung der breitbandigen Schlüsselinformation verschlüsselt in die Entschlüsselungseinheit übertragen und dort entschlüsselt.
  • Gemäß eines weiteren Aspekts betrifft die vorliegende Erfindung eine Entschlüsselungseinheit zur Entschlüsselung von verschlüsselten breitbandigen Daten, die einer Vielzahl von Anwendern verfügbar gemacht werden, durch einen oder mehrere autorisierte Anwender, mit einem Speicherbereich, der im Vergleich zu den breitbandigen Daten schmalbandige Schlüsselinformation, die für den autorisierten Anwender individualisiert ist, flüchtig oder nicht flüchtig so speichert, dass sie für den/die autorisierten Anwender nicht zugänglich ist, einem Verarbeitungsbereich, der dem/den autorisierten Anwender(n) nicht zugänglich ist und der mit der gespeicherten schmalbandigen Schlüsselinformation die verschlüsselten breitbandigen Daten zumindest teilweise entschlüsselt, um sie als teilweise entschlüsselten breitbandigen Datenstrom auszugeben, oder der eine breitbandige Schlüsselinformation zur nachfolgenden Entschlüsselung der breitbandigen Daten erzeugt, wobei die Entschlüsselungseinheit als ein einzelner Sicherheitsbaustein oder als eine Mehrzahl von Sicherheitsbausteinen ausgebildet ist, die über eine sichere Kommunikationsverbindung miteinander verbunden sind.
  • Weitere vorteilhafte Merkmale des erfindungsgemäßen Verfahrens und der Entschlüsselungseinheit finden sich in weiteren abhängigen Ansprüchen.
    •
  • Kurze Beschreibung der begleitenden Figuren
  • Im Folgenden werden Aspekte der vorliegenden Erfindung unter Bezugnahme auf die begleitenden Figuren genauer erläutert. Diese Figuren zeigen:
  • 1: Eine schematische Darstellung einer ersten Ausführungsform der erfindungsgemäßen Entschlüsselungseinheit zur Verwendung in einer ersten Ausführungsform des erfindungsgemäßen Verfahrens.
  • 2: Eine schematische Darstellung einer zweiten Ausführungsform der erfindungsgemäßen Entschlüsselungseinheit zur Verwendung in einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens.
  • Detaillierte Beschreibung bevorzugter Ausführungsbeispiele
  • 1 zeigt eine erste gegenwärtig bevorzugte Ausführungsform der vorliegenden Erfindung. Dabei lädt ein Anwender Videodaten 10 zur Betrachtung auf seinem PC 20 (hier als Notebook dargestellt). Anstelle des PC 20 könnte auch eine andere geeignete Vorrichtung verwendet werden, mit der Videodaten aus dem Internet oder von einer anderen Datenquelle heruntergeladen werden können.
  • Die Videodaten 10 werden in verschlüsselter Form von einem Provider 1 im Internet bereitgestellt. Es ist daher grundsätzlich einer Vielzahl von Anwendern möglich die Videodaten 10 herunterzuladen. Statt einem Herunterladen aus dem Internet, das große Bandbreiten des Internetzugangs voraussetzt, kann der Anwender die verschlüsselten Videodaten auch auf einer gekauften oder gegen eine Gebühr ausgeliehenen DVD oder einem anderen Datenträger erhalten. Unabhängig davon erfordert die Verwendung der Daten, d.h. das Betrachten des Videofilms, schmalbandige Schlüsselinformation 30, d.h. Schlüsselinformation, die im Vergleich zu den breitbandigen Videodaten 10 eine ungleich kleinere Datenmenge in Anspruch nimmt. In dem in 1 dargestellten Ausführungsbeispiel wird diese Schlüsselinformation 30 in einem USB-Stick 40 vorgehalten.
  • Wie in 1 schematisch gezeigt, werden die verschlüsselten Videodaten 10 zu einem Sicherheitschip 50 innerhalb des USB-Sticks 40 geführt. In einem Speicherbereich 51 des Sicherheitschips 50 ist die schmalbandige Schlüsselinformation 30 gespeichert, die in einem Verarbeitungsbereich 52 des Sicherheitschips 50 dazu verwendet wird, um die ankommenden verschlüsselten Videodaten 10 zu entschlüsseln.
  • Über die Schnittstelle 41 des USB-Sticks 40 werden die entschlüsselten Videodaten 70 an den PC 20 zurückgegeben. Eine geeignete Applikation auf dem PC kann dann den entschlüsselten Videodatenstrom dem PC-Benutzer präsentieren. Der Sicherheitschip 50 muss dabei nicht zwingend die vollständige Entschlüsselung der Videodaten 10 durchführen. Wesentlich ist jedoch, dass der den USB-Stick 40 40 verlassende Datenstrom 70 breitbandig ist, so dass eine einfache Distribution über Email o.ä. bereits aufgrund der Datenmenge nur schwer möglich ist.
  • Abhängig von der benötigen Datenrate können bei der Entschlüsselung der Videodaten noch Techniken des Watermarkings o.ä. integriert werden, so dass der entschlüsselte Videodatenstrom 70 identifizierbar wird. Dadurch lässt sich zusätzlich verhindern bzw. nachverfolgen, wenn der Strom der entschlüsselten Videodaten trotz seiner Größe unrechtmäßig an Dritte weitergeben wird.
  • Anstelle eines einzigen Sicherheitschips 50 ist es auch denkbar zwei Sicherheitschips im USB-Stick 40 anzuordnen (nicht dargestellt), von denen der eine die Speicherung der schmalbandigen Schlüsselinformation 30 übernimmt und der andere die Entschlüsselung der Videodaten. In diesem Fall, wird die Schlüsselinformation 30 über einen sicheren Kommunikationskanal zwischen den beiden Sicherheitschips übertragen.
  • In den aus dem Stand der Technik bekannten Systemen wird die Schlüsselinformation aus der sicheren Umgebung, beispielsweise einer Smartcard, in die lei stungsstärkere, aber weniger sichere Umgebung eines PCs übergeben, so dass einer oder mehrere Prozessoren des PCs die Entschlüsselung durchführen und den entschlüsselten Videodatenstrom bereitstellen. Gemäß der vorliegenden Erfindung erfolgt die Bereitstellung der schmalbandigen Schlüsselinformation und die Entschlüsselung in einer Einheit, die entweder durch einen einzelnen physikalischen Baustein (den Sicherheitschip 50, wie in 1 dargestellt) oder durch eine sicherheitstechnisch gekoppelte Lösung (zwei oder mehr sicher miteinander verbundene Sicherheitschips, nicht dargestellt) gebildet wird. Eine sicherheitstechnische Kopplung der beiden Sicherheitschips kann durch eine hardwareseitige Unterstützung der Verschlüsselung des Datenkanals zwischen den Hardware-Komponenten z.B. durch den Einsatz einer Session-Key-Aushandlung unter Verwendung einer RSA-Challenge aufgebaut werden, ohne dass das Konzept an Sicherheit verliert.
  • Im Ergebnis wird in beiden Varianten die Schlüsselinformation 30 nicht in die PC-Welt extrahiert und kann daher auch nicht durch das Manipulieren der PC-Soft- und Hardware ermittelt werden. Dies ist möglich, da es Sicherheitschips gibt, die Datenmengen im Bereich mehrerer Mbit/s durchzusetzen und zu entschlüsseln in der Lage sind. Klassische Smartcards (gemäß ISO 7816 oder kontaktlose Karten) verfügen über serielle Schnittstellen, die Datenraten nicht über 1 Mbit/s erlauben und sind daher für die Entschlüsselung der Daten ungeeignet. Im Gegensatz dazu weist der in 1 gezeigte USB-Stick eine Datenrate von im Wesentlichen zweimal der Datenrate der Videodaten 10 auf, da diese Daten empfangen, zumindest teilweise entschlüsselt und an den PC 20 zurückgegeben werden. Der maximale Datendurchsatz durch den Sicherheitschip 50 beschränkt die mögliche nutzbare Bitrate.
  • Wie in 1 gezeigt wird im bevorzugten Ausführungsbeispiel zusätzlich zu den verschlüsselten Videodaten 10 ein kleiner Verwaltungsdatenstrom 60 zur Verwaltung der Zugangsberechtigung an den PC 20 und damit den USB-Stick 40 übertragen. Der USB-Stick 40 ist dazu vorzugsweise individuell adressierbar und verfügt über einen individuellen Schlüssel (nicht dargestellt). Damit kann ein sicherer Datenkanal zwischen dem Provider 1 und dem USB-Stick 40 aufgebaut werden. Über diesen Datenkanal wird die Schlüsselinformation zur Entschlüsselung der verschlüsselten Videodaten 10 verschlüsselt unter dem individuellen Schlüssel des USB-Stick 40, mitgesendet (nicht dargestellt). Alternativ dazu kann die Schlüsselinformation auch unmittelbar in die verschlüsselten Videodaten 10 mit integriert werden.
  • Wenn die Schlüsselinformation mit dem individuellen Schlüssel des USB-Stick entschlüsselt worden ist, steht sie als individualisierte Schlüsselinformation 30 zur Verfügung, um wie oben erläutert die zumindest teilweise Entschlüsselung der Videodaten 10 durchzuführen.
  • Über den Verwaltungsdatenstrom 60 können zusätzlich auch komplexere Konzepte wie beispielsweise die Bereitstellung der Rechte zur n-maligen Wiedergabe der Videodaten 10 oder zur zeitlichen Einschränkung der Nutzung der Videodaten realisiert werden. Die verschiedensten Applikationen, die mehr erfordern als eine reine Ja/Nein-Entscheidung, ob ein Anwender autorisiert ist, die angebotenen breitbandigen Daten zu nutzen, sind daher ohne Weiteres möglich.
  • 2 zeigt eine weitere Ausführungsform der vorliegenden Erfindung. Anders als in der oben erläuterten Ausführungsform findet hier wie im Stand der Technik die Entschlüsselung der verschlüsselten Videodaten auf dem PC oder einer anderen geeigneten Vorrichtung statt. Die dazu erforderliche Schlüsselinformation 30' erzeugt der USB-Stick aus der Schlüsselinformation 30 und gibt sie an den PC aus. Diese Schlüsselinformation 30' unterscheidet sich von der Schlüsselinformation 30 innerhalb des USB-Sticks 40 durch ihren Umfang. Während die ausschließlich im USB-Stick verbleibende Schlüsselinformation 30 schmalbandig ist, d.h. deutlich kleiner ist als die zu entschlüsselnden Videodaten 10, ist die Schlüsselinformation 30' breitbandig, d.h. sie weist im Wesentlichen dieselbe Größen ordnung auf wie die Videodaten 10. Damit wird auch in dieser Ausführungsform eine Weitergabe an unbefugte Dritte verhindert oder zumindest erschwert.
  • Auch in dieser Ausführungsform kann die Schlüsselinformation 30 innerhalb des USB-Sticks 40 zunächst aus einem individuellen Schlüssel des USB-Sticks und weiterer Schlüsselinformation generiert werden, die entweder den Videodaten 10 beigefügt wird oder über den zusätzlichen Verwaltungsdatenstrom 60 an den USB-Stick 40 geschickt wird.

Claims (11)

  1. Verfahren zur Entschlüsselung von verschlüsselten breitbandigen Daten durch einen oder mehrere autorisierte Anwender, mit den folgenden Schritten: a. Bereitstellen der verschlüsselten breitbandigen Daten (10) für eine Vielzahl von Anwendern; b. Bereitstellen von im Vergleich zu den breitbandigen Daten (10) schmalbandiger, verschlüsselter oder unverschlüsselter Schlüsselinformation (30), die für einen oder mehrere autorisierte Anwender individualisiert ist, ausschließlich in einer Entschlüsselungseinheit (40), wobei die schmalbandige Schlüsselinformation (30) in der Entschlüsselungseinheit (40) in einer dem autorisierten Anwender nicht zugänglichen Form vorgehalten wird; c. zumindest teilweises Entschlüsseln der verschlüsselten breitbandigen Daten (10) in der Entschlüsselungseinheit (40) zur Ausgabe eines zumindest teilweise entschlüsselten breitbandigen Datenstroms (70); oder d. Erzeugung von breitbandiger Schlüsselinformation (30') aus der schmalbandigen Schlüsselinformation (30) in der Entschlüsselungseinheit (40) zur nachfolgenden Entschlüsselung der verschlüsselten breitbandigen Daten.
  2. Verfahren nach Anspruch 1, wobei die Entschlüsselungseinheit (40) einen Sicherheitsbaustein (50) umfasst, in dem die schmalbandige Schlüsselin formation (30) gespeichert ist, und der die Entschlüsselung der breitbandigen Daten (10) bzw. die Erzeugung der breitbandigen Schlüsselinformation (30') durchführt.
  3. Verfahren nach Anspruch 1, wobei die Entschlüsselungseinheit (40) einen ersten Sicherheitsbaustein umfasst, in dem die schmalbandige Schlüsselinformation (30) gespeichert ist und einen zweiten Sicherheitsbaustein, der vom ersten Sicherheitsbaustein über eine sichere Kommunikation die schmalbandige Schlüsselinformation (30) erhält und der die Entschlüsselung der breitbandigen Daten (10) bzw. die Erzeugung der breitbandigen Schlüsselinformation (30') durchführt.
  4. Verfahren nach Anspruch 2 oder 3, wobei die Datendurchsatzrate des entschlüsselnden bzw. erzeugenden Sicherheitsbausteins (50) im Bereich mehrerer Mbit/s liegt.
  5. Verfahren nach einem der vorhergehenden Ansprüche wobei zumindest Teile der schmalbandigen Schlüsselinformation (30) vor der Entschlüsselung der breitbandigen Daten (10) oder der Erzeugung der breitbandigen Schlüsselinformation (30') verschlüsselt in die Entschlüsselungseinheit (40) übertragen und dort entschlüsselt werden.
  6. Verfahren nach Anspruch 6, wobei die Übertragung von Teilen der Schlüsselinformation (30) die Festlegung von Rechten zur Nutzung der breitbandigen Daten (10) durch den/die Anwender umfasst, insbesondere zur mehrfachen oder zeitlich begrenzten Nutzung.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei der ausgegebene Datenstrom (70) digital signiert wird.
  8. Entschlüsselungseinheit (40) zur Entschlüsselung von verschlüsselten breitbandigen Daten (10), die einer Vielzahl von Anwendern verfügbar gemacht werden, durch einen oder mehrere autorisierte Anwender mit: a. einem Speicherbereich (51), der im Vergleich zu den breitbandigen Daten schmalbandige Schlüsselinformation (30), die für den autorisierten Anwender individualisiert ist, flüchtig oder nicht flüchtig so speichert, dass sie für den/die autorisierten Anwender nicht zugänglich ist, b. einem Verarbeitungsbereich (52), der dem/den autorisierten Anwender(n) nicht zugänglich ist und der mit der gespeicherten schmalbandigen Schlüsselinformation (30) die verschlüsselten breitbandigen Daten (10) zumindest teilweise entschlüsselt, um sie als teilweise entschlüsselten breitbandigen Datenstrom (70) auszugeben, oder der eine breitbandige Schlüsselinformation (30') zur nachfolgenden Entschlüsselung der breitbandigen Daten (10) erzeugt. c. wobei die Entschlüsselungseinheit (40) als ein einzelner Sicherheitsbaustein (50) oder als eine Mehrzahl von Sicherheitsbausteinen ausgebildet ist, die über eine sichere Kommunikationsverbindung miteinander verbunden sind.
  9. Entschlüsselungseinheit nach Anspruch 9, ferner aufweisend Einrichtungen, für eine verschlüsselte Übertragung von zumindest Teilen der schmalbandigen Schlüsselinformation (30) in den Speicherbereich (51) der Entschlüsselungseinheit (40).
  10. Entschlüsselungseinheit nach Anspruch 9 oder 10 ferner aufweisend eine Schnittstelle (41) zum Empfang der verschlüsselten breitbandigen Daten (10) und zur Ausgabe des zumindest teilweise entschlüsselten Datenstroms (70) oder der breitbandigen Schlüsselinformation (30').
  11. Entschlüsselungseinheit nach einem der Ansprüche 9–11, wobei die Entschlüsselungseinheit (40) als ein USB-Stick (40) ausgebildet ist.
DE102004052101A 2004-10-26 2004-10-26 Verfahren und Vorrichtung zur Entschlüsselung breitbandiger Daten Expired - Fee Related DE102004052101B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102004052101A DE102004052101B4 (de) 2004-10-26 2004-10-26 Verfahren und Vorrichtung zur Entschlüsselung breitbandiger Daten
US11/577,960 US8582763B2 (en) 2004-10-26 2005-10-19 Method and apparatus for decoding broadband data
EP05803715.1A EP1807994B1 (de) 2004-10-26 2005-10-19 Verfahren und vorrichtung zur entschlüsselung breitbandiger daten
BRPI0518243-3A BRPI0518243A2 (pt) 2004-10-26 2005-10-19 mÉtodo e aparelho para decodificaÇço de dados de banda larga
PCT/EP2005/011235 WO2006045507A1 (de) 2004-10-26 2005-10-19 Verfahren und vorrichtung zur entschlüsselung breitbandiger daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004052101A DE102004052101B4 (de) 2004-10-26 2004-10-26 Verfahren und Vorrichtung zur Entschlüsselung breitbandiger Daten

Publications (2)

Publication Number Publication Date
DE102004052101A1 true DE102004052101A1 (de) 2006-05-04
DE102004052101B4 DE102004052101B4 (de) 2009-01-15

Family

ID=35511275

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004052101A Expired - Fee Related DE102004052101B4 (de) 2004-10-26 2004-10-26 Verfahren und Vorrichtung zur Entschlüsselung breitbandiger Daten

Country Status (5)

Country Link
US (1) US8582763B2 (de)
EP (1) EP1807994B1 (de)
BR (1) BRPI0518243A2 (de)
DE (1) DE102004052101B4 (de)
WO (1) WO2006045507A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008034605B4 (de) 2007-10-11 2019-06-13 Tandberg Data Holdings S.A.R.L. Chiffrierschlüssel, der von einer Bandkassette gespeichert und transportiert wird, sowie ein entsprechendes Magnetbandmediumlese/schreib-System und ein entsprechendes Verfahren

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110198215B (zh) * 2019-06-20 2022-10-14 海能达通信股份有限公司 一种加密文件的操作方法及相关装置

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4658093A (en) * 1983-07-11 1987-04-14 Hellman Martin E Software distribution system
US5485519A (en) * 1991-06-07 1996-01-16 Security Dynamics Technologies, Inc. Enhanced security for a secure token code
GB2274229A (en) * 1992-12-19 1994-07-13 Ibm Cryptography system.
US5337362A (en) * 1993-04-15 1994-08-09 Ricoh Corporation Method and apparatus for placing data onto plain paper
US5297207A (en) * 1993-05-24 1994-03-22 Degele Steven T Machine generation of cryptographic keys by non-linear processes similar to processes normally associated with encryption of data
JP3093678B2 (ja) * 1996-06-28 2000-10-03 株式会社東芝 暗号化方法、復号方法、記録再生装置、復号装置、復号化ユニット装置及び記録媒体の製造方法
DE19906450C1 (de) * 1999-02-16 2000-08-17 Fraunhofer Ges Forschung Verfahren und Vorrichtung zum Erzeugen eines verschlüsselten Nutzdatenstroms und Verfahren und Vorrichtung zum Entschlüsseln eines verschlüsselten Nutzdatenstroms
JP2000341263A (ja) * 1999-05-27 2000-12-08 Sony Corp 情報処理装置及び方法
ATE403992T1 (de) * 1999-06-22 2008-08-15 Hitachi Ltd Kryptografisches gerät und verfahren
KR100735503B1 (ko) * 1999-08-27 2007-07-06 소니 가부시끼 가이샤 정보 송신 시스템, 장치 및 방법 및 정보 수신 시스템,장치 및 방법
JP3508680B2 (ja) * 2000-02-24 2004-03-22 日本電気株式会社 コンテンツ不正コピー防止方法およびシステム
US7136889B1 (en) * 2000-08-29 2006-11-14 Maxtor Corporation Method and apparatus for generating high quality real random numbers using a disk drive
US20030226029A1 (en) * 2002-05-29 2003-12-04 Porter Allen J.C. System for protecting security registers and method thereof
AU2003277131A1 (en) * 2002-09-17 2004-04-08 Digital Media On Demand, Inc. Method and system for secure distribution

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008034605B4 (de) 2007-10-11 2019-06-13 Tandberg Data Holdings S.A.R.L. Chiffrierschlüssel, der von einer Bandkassette gespeichert und transportiert wird, sowie ein entsprechendes Magnetbandmediumlese/schreib-System und ein entsprechendes Verfahren

Also Published As

Publication number Publication date
US20090052673A1 (en) 2009-02-26
DE102004052101B4 (de) 2009-01-15
US8582763B2 (en) 2013-11-12
EP1807994B1 (de) 2016-05-18
EP1807994A1 (de) 2007-07-18
WO2006045507A1 (de) 2006-05-04
BRPI0518243A2 (pt) 2008-11-11

Similar Documents

Publication Publication Date Title
DE69723650T2 (de) Verfahren zur Beglaubigung von Daten mittels Verschlüsselung und System zur Beglaubigung unter Verwendung eines solchen Verfahrens
DE69738002T2 (de) Authentifizierungseinrichtung nach dem Challenge-Response-Prinzip
DE69837625T2 (de) Vorrichtung zur Entschlüsselung eines Schlüssels
DE102010027586B4 (de) Verfahren zum kryptographischen Schutz einer Applikation
DE102009007345A1 (de) Sicherheitsvorrichtung, sicheres Speichersystem und Verfahren, das eine Sicherheitsvorrichtung verwendet
DE69910786T2 (de) Verfahren zur Verteilung von Schlüsseln an eine Anzahl gesicherter Geräten, Verfahren zur Kommunikation zwischen einer Anzahl gesicherter Geräten, Sicherheitssystem, und Satz gesicherter Geräten
DE112006004173T5 (de) Schutz eines programmierbaren Speichers gegen unberechtigte Veränderung
EP3248324B1 (de) Verteiltes bearbeiten eines produkts auf grund von zentral verschlüsselt gespeicherten daten
WO2011104136A1 (de) Hardware-einrichtung
EP2434424B1 (de) Verfahren zur Erhöhung der Sicherheit von sicherheitsrelevanten Online-Diensten
DE10142351A1 (de) Initialisieren einer Chipkarte
EP1807994B1 (de) Verfahren und vorrichtung zur entschlüsselung breitbandiger daten
DE10257159A1 (de) Verfahren zur Verbesserung der Sicherheit bei der Übertragung von Contents über ein Digital Rigths Management-System
EP1288768A2 (de) Intelligenter Dongle
DE102012015348A1 (de) Verfahren zum Schreiben und Lesen von Daten auf einem blockorientierten Speichermedium
EP1904980A1 (de) Verfahren zum betreiben eines tragbaren datenträgers
DE102008051578A1 (de) Datenkommunikation mit portablem Endgerät
DE60218315T2 (de) Verfahren zur lokalen aufzeichnung von digitalen daten für das digitale fernsehen
DE4419635C2 (de) Microcontrollersicherungsverfahren
WO2005055018A1 (de) Verfahren und vorrichtung zur sicherung digitaler daten
DE4420967A1 (de) Entschlüsselungseinrichtung von digitalen Informationen und Verfahren zur Durchführung der Ver- und Entschlüsselung derselben
EP1246391A1 (de) Verfahren und System zur kryptographischen Datenkommunikation mit mehreren Instanzen
DE102009040615A1 (de) Verfahren zur digitalen Rechteverwaltung in einem Computernetz mit einer Vielzahl von Teilnehmerrechnern
WO2024038210A1 (de) Verfahren zum bereitstellen eines digitalen schlüssels
DE10056989A1 (de) Verschlüsselungssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R081 Change of applicant/patentee

Owner name: VERIMATRIX GMBH, DE

Free format text: FORMER OWNER: COMVENIENT GMBH, 85737 ISMANING, DE

Owner name: VERIMATRIX GMBH, DE

Free format text: FORMER OWNER: COMVENIENT GMBH & CO. KG, 80807 MUENCHEN, DE

R082 Change of representative

Representative=s name: BARDEHLE PAGENBERG PARTNERSCHAFT MBB PATENTANW, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee